C-TPAT計算機系統安全控制程序.doc

文件類型:程序文件文件編號:CP014制定部門:C-TPAT推行小組版 本:1頁碼:1 of 5印 章:當“受控文件”印章為紅色時,此文件方為有效,嚴禁使用沒用紅色“受控文件”印章的復印件* 電 子計算機系統安全控制程序分 發 範 圍分發號接受者分發號接受者分發號接受者分發號接受者分發號接受者01總經理05開發部71邦定75SMT10財務部02管理者代表61PMC72噴油77PQC11采購部03業務部62倉庫73裝配08行政部04品管部70注塑74PE09模具部修 改 記 錄版本修訂簡歷生效日期1 頒佈版.2006-03-01 編制: C-TPAT推行小組 審核:_ 批准:_日期:_2006年03月_ 日期:_ 日期:_* 電 子程 序 文 件文件編號：CP014印 章版 本： 1標題：計算機系統安全控制程序生效日期：2006年03月01日頁 次： 2 of 51.0目的 为保障本厂计算机系统的安全运行，防止非授权人士进入该计算机系统,提高全厂计算机系统安全运行管理的科学化、规范化水平，同时满足美国海关的 C-TPAT （海关贸易伙伴防恐）安全要求,特制定本程序2.0范围本程序适用于全厂所有计算机的安全控制和管理3.0主要职责和权限3.1总经理决定计算机的使用权限及配置3.2董事决定计算机使用者的网络进入权限3.3电脑维护员负责全厂计算机系统的安全维护3.4各计算机使用者负责执行本程序的有关规定4.0工作程序 4.1人力资源4.1.1电脑维护员、计算机操作员等关键岗位要选用思想品德端正、责任心强、业务水平高的人员担任,具体依照执行4.1.2雇用新员工后，其直接主管必须确定该员工是否需要进入 IT 系统。如果确实需要，主管应为此员工申请使用权。主管应向总经理递交一份书面申请表格，注明员工的姓名及其需要使用的应用程序4.1.3自动报关程序或用来进行一切有关船务文件操作的专用计算机安排专人负责并定期改变密码,本厂对接触该等交易数据并充许输入或变更交易数据的人员进行必要的限制. 具体依照执行4.1.4计算机操作员必须接受过IT安全实施的培训并经过书面的考核,保持适当的培训及考核记录,例如培训教材考核试题等;明白未经授权的不提进入公司IT网络,企图擅自篡改或变动公司的商业资料,否则将受到适当的惩罚. 对不合格人员要及时更换或调离.惩罚的细则依执行.4.2计算机密码控制本厂规定所有使用计算机系统的员工必须至少每年更改密码两次,员工必须至少每半年更改密码一次4.2.1电脑维护员应负责通知计算机用户更改密码。电脑维护员应指定更改密码的频率和日期，伺服器运行软件将提醒员工进行更改。4.2.2对于未能在指定日期内更改密码的员工，应锁闭其对计算机网络的使用，直至电脑维护员解除锁闭为止。4.2.3密码应为字母和数字的组合，长度至少为六个字母和符号。不应采用“明显”密码，例如出生日期、城市名等。4.2.4为防止密码有可能会被泄漏或破译，员工应经常更改密码。如果员工怀疑密码已被泄漏，应立即使用新密码。4.3系统管理* 電 子程 序 文 件文件編號：CP014印 章版 本： 1標題：計算機系統安全控制程序生效日期：2006年03月01日頁 次： 3 of 54.3.1 系统管理是指对运行系统中系统软件、应用软件及数据的管理。 4.3.2 任何人不得在生产系统上安装编译工具、应用系统源程序及其他与工作业务无关的软件。4.3.3备份系统与生产系统的系统构成与配置应保持一致，以保证生产系统出现故障时能顺利切换。4.3.4 任何人不得擅自修改系统参数及业务数据库的数据，确需修改应严格履行审批手续，由电脑维护员实施，修改后的参数应记录备案。 4.3.5对于系统软件升级、应用软件升级或更换等重大操作，由电脑维护员制定详细的计划和方案，把风险降到最低。 电脑维护员应及时收集、整理应用软件运行中发生的问题，逐级上报汇总后，交软件提交者。4.3.6电脑维护员应对公司计算机有关数据进行备份或指导监督相关操作员进行数据各份，确保即使主要 IT 系统瘫痪（出于病毒攻击、工厂失火等原因），记录也不会丢失；数据可以不同方式备份，较为简单的方式有软盘或光盘，较复杂的方式有异地备份伺服器。4.3.7电脑员应做好系统的日常运行维护工作：4.3.7.1密切监视系统运行状况，及时处理系统故障，并对故障产生原因进行认真的分析总结。4.3.7.2制定系统运行维护计划，严格按计划对系统进行维护，并详细记录维护情况。4.3.7.3定期对系统运行状况进行分析，形成系统性能优化方案，必要时制定主机系统的升级方案，实施须报科技部门领导审批。4.3.7.4建立软件运行档案，对软件的基本情况(版本、配置等)、升级、故障现象、故障产生原因、故障处理过程及处理结果等进行详细记录。4.4 网络通信管理4.4.1网络通信管理是指对所辖网络通信系统运行的管理。4.4.2网络的IP地址、主机名等参数由公司统一进行编码和分配。任何人不得擅自增加、删除网络节点及修改网络参数，确需增加、删除或修改时，应严格履行审批手续。4.4.3电脑维护员应及时将网络通信设备的配置参数、网络地址(如IP地址、端口号)等资料归 档保管，并严格保密;同时做好网络通信系统的日常运行维护工作：4.4.3.1密切监视网络运行状况，及时排除网络出现的故障，做好网络运行及维护记录。 4.4.3.2定期分析网络运行状况，形成网络性能优化方案，实施须由部门领导审批。4.4.3.3严格控制网络通信连接，采取诸如防火墙等项防范措施，对内部网与外部网进行网络隔离。4.4.3.4采取切实可行的措施对内部网络各节点的通信进行控制，防止各种非法访问。4.4.3.5网络的通信线路应有备份，并应对备份线路按月进行检测。4.5 安全管理4.5.1 安全管理是指对保障系统安全可靠运行的关键安全环节的管理,电脑维护员应充分合理地利用系统提供的安全机制，实现系统的安全保护和安全服务。4.5.2本厂通过使用防火墙、员工密码以及防病毒软件,保护其 IT 系统免被非法使用和进入,本厂要求使用者必须输入登录名/密码后，方可进入 IT 系统。电脑维护员对各用户及其权限的设定应进行严格管理，用户权限的分配必须遵循“最小特权”原则,用户密码应严 * 電 子程 序 文 件文件編號：CP014印 章版 本： 1標題：計算機系統安全控制程序生效日期：2006年03月01日頁 次： 4 of 5格保密，及时更新。重要用户密码应密封交总经办保管,计算机操作人员调离，电脑维护员应及时修改相关密码、口令。电脑维护员应严格限制对密钥等密级文件的访问，防止非法研读和拷贝。4.5.3同时本厂还会针对计算机系统的安全管理考虑逐步实施以下的安全措施:4.5.3.1锁上存放主伺服器的房间：伺服器和设备的实际保护。应将其存放在上锁的房间内。4.5.3.2 128 位元加密：针对Internet 通信和交易的最高保护级别。加密时会以电子方式将信息打乱，这样在信息传送过程中，外部人员查看或修改信息的风险就会降低。4.5.3.3公钥基础架构 (PKI)：保护通过 Internet 发送的机密/秘密电子信息的方式。信息发送人持有私钥，并可向信息接收人分发公钥。接收人使用公钥将信息解密。4.5.3.4 虚拟专用网络：此方法将所有网络通信加密或打乱，提供网络安全或保护隐私。4.5.4电脑维护员每日应对主机系统、网络系统的安全进行跟踪记录及应用系统的检查，分析系统可能存在的安全隐患和漏洞，对发现的隐患和漏洞要及时研究补救措施，并报部门领导审批后实施。4.5.5电脑维护员应采取切实有效的措施，控制病毒的传染源，做好计算机病毒的防范工作，并经常进行计算机病毒检查，发现病毒及时清除。 4.5.6对关键业务系统，如：自动报关系统、船务文件系统、CAC系统等，日间停止正常运行超过4小时，属重大运行事故。发生重大运行事故，各部门计算机操作员必须及时报行政部，事故的原因及事故处理过程要形成详细的书面材料于事后两周内由电脑维护员上报总经理4.5.7系统软硬件及应用软件的升级、更新等重大操作的实施方案必须包括应急措施。实施过程中一旦出现意外情况，为避免造成重大运行事故，须及时采取应急措施恢复运行。4.6电子档案管理4.6.1受控文件的电子档案由文控中心加密保存,任何人不得擅自复制和拷贝,具体依照执行. 4.6.2其它各类电子档案由各计算机操作员及时整理归档并对电子档案登记入册，标明内容、日期、密级、保存期限等信息，分类保管。4.6.3电子档案保管须满足防盗、防潮、防火、防水、防鼠、防虫、防磁、防震等要求。重要电子档案应有备份保护措施;备份介质要存放在专用介质库内，系统软件、应用软件及业务数据备份介质还须异地(不同建筑物内)保存。4.6.4各计算机操作员应定期检查电子档案的完整性和有效性，对受损档案要及时整理和修复；对介质档案还应定期采取重绕、重写、复制等维护措施。 4.6.5涉及保密内容的电子档案，任何人不得以介绍、复印(拷贝)、发表文稿等方式外泄。对过期和报废的电子档案应及时删除销毁以节约计算机空间. 4.7计算机系统应急计划本厂计算机系统应急外理由电脑维护员负责;并且在总经理的授权下成立IT小组,制定计算机系统书面的灾后重建计划，以快速恢复计算机网络及其数据。4.7.1 IT小组应每年至少预演一次灾后重建计划。灾后重建计划可以定义为计划、制定并执行* 電 子程 序 文 件文件編號：CP014印 章版 本： 1標題：計算機系統安全控制程序生效日期：2006年03月01日頁 次： 5 of 5灾后重建管理程序的持续过程，目的是在系统发生意外中断的情况下确保重要的公司运作可以迅速有效地恢复。所有灾后重建计划必须包含以下元素：关键应用程序评估、备份、重建、执行、测试、计划维护4.7.2 IT 灾后重建计划作为本厂企业灾后重建计划的一部分。,本厂委派一位高级管理人员领导 IT 灾后重建小组;IT小组应识别厂方网络架构的组件，以便制定并更新应急程序。4.7.3 IT小组应对厂方的 IT 系统进行风险评估分析并将其归档,然后应评估并区分需要支持的关键和次要业务功能的优先次序并为所有关键和次要业务職能制定、维护并记录书面策略性重建程序。4.7.4 IT小组应确定、维护并分发可协助工厂灾后重建的关键和次要业务功能人员名单,制定、维护并向所有 IT 员工和每个关键及次要业务功能的负责人分发书面的 IT 应急计划培训纲要;IT小组应从各方面测试 IT 应急计划,至少每年一次.并且应制定、维护并记录有效的IT 应急计划年度评估。4.7.5电脑维护员负责制定具体的，针对系统运行过程中可能发生的故障和灾难，制定恢复运行的措施、方法，向总经理汇报后成立应急计划实施IT小组，负责本厂应急计划的实施和管理。4.7.6在保证系统日间正常运行的前提下，IT小组对可模拟的故障和灾难每年至少进行一次实施应急计划的演习。应急